Изследователите предупреждават за непоправена уязвимост на “DogWalk” на Microsoft Windows

Неофициална корекция за сигурност беше предоставена за нова уязвимост на Windows нулев ден в инструмента за диагностика на поддръжка на Microsoft (MSDT), дори когато недостатъкът на Follina продължава да се използва в дивата природа.

Въпросът – посочен като DogWalk – се отнася до грешка при преминаване на пътя, която може да бъде използвана за скриване на злонамерен изпълним файл в папката за стартиране на Windows, когато потенциална цел отвори специално изработен архивен файл “.diagcab”, който съдържа диагностичен конфигурационен файл.

Идеята е полезният товар да се изпълни следващия път, когато жертвата влезе в системата след рестартиране. Уязвимостта засяга всички версии на Windows, като се започне от Windows 7 и Server Server 2008 до най-новите версии.

Кибер защита

DogWalk първоначално беше разкрити от изследователя по сигурността Имре Рад през януари 2020 г., след като Microsoft, след като призна проблема, го прецени, че не е проблем със сигурността.

„Има редица типове файлове, които могат да изпълняват код по такъв начин, но технически не са „изпълними““, каза тогава техническият гигант. „Някои от тях се считат за опасни за изтегляне/получаване от потребителите по имейл, дори „.diagcab“ е блокиран по подразбиране в Outlook в мрежата и на други места.“

Докато всички файлове, изтеглени и получени по имейл, включват Mark-of-the-Web (MOTW), който се използва за определяне на произхода им и задействане на подходящ отговор за сигурност, Митя Колсек от 0patch отбеляза, че приложението MSDT не е предназначено да проверява този флаг и следователно позволява .diagcab файлът да бъде отворен без предупреждение.

„Outlook не е единственото средство за доставка: такъв файл се изтегля с радост от всички основни браузъри, включително Microsoft Edge, като просто посетите (!) уебсайт и е необходимо само едно щракване (или неправилно щракване) в списъка с изтегляния на браузъра, за да имате отвори се, „Колсек казах.

„В процеса не се показва предупреждение, за разлика от изтеглянето и отварянето на всеки друг известен файл, който може да се изпълни [the] код на нападателя.”

Пластирите и подновен интерес в грешката с нулев ден следват активна експлоатация от “Фолина“уязвимост при отдалечено изпълнение на код чрез използване на документи на Word със зловреден софтуер, които злоупотребяват със схемата на URI на протокола” ms-msdt: “.

Кибер защита

Според фирмата за корпоративна сигурност Proofpoint, недостатъкът (CVE-2022-30190, CVSS резултат: 7,8) е въоръжен от заплаха, проследяван като TA570 да достави на QBot (известен още като Qakbot) троянски кон за кражба на информация.

„Акторът използва отвлечени съобщения с HTML прикачени файлове, които, ако бъдат отворени, пускат ZIP архив“, компанията казах в поредица от туитове, описващи фишинг атаките.

„Архивът съдържа IMG с документ на Word, файл с пряк път и DLL. LNK ще изпълни DLL, за да стартира QBot. Документът ще зареди и изпълни HTML файл, съдържащ PowerShell, злоупотребяващ с CVE-2022-30190, използван за изтегляне и изпълнение на Qbot. “

QBot също е нает от брокери за първоначален достъп да получат първоначален достъп до целеви мрежи, позволявайки на филиалите на ransomware да злоупотребяват с опората, за да внедрят зловреден софтуер за криптиране на файлове.

Докладът на DFIR, по-рано тази година, също документирано как инфекциите с QBot се движат с бързи темпове, позволявайки на зловредния софтуер да събира данни от браузъра и имейли на Outlook само 30 минути след първоначалния достъп и да разпространява полезния товар до съседна работна станция около 50-минутната граница.

.